| Características: El gusano se propaga por correo electrónico en un mensaje con el texto “All information is in the attached file” en su cuerpo, y con asuntos y archivos adjuntos de nombre aleatorio. El remitente sería support@microsoft.com, y el archivo está comprimido por la herramienta UPX.
Los posibles asuntos serían los siguientes:
Approved (Ref: 38446-263)
Cool screensaver
Re: Approved (ref: 3394-65467)
Re: Movie
Re: My application
Re: My details
Screensaver
Your details
Your password
Archivos adjuntos:
application.pif
approved.pif
doc_details.pif
movie28.pif
password.pif
ref-394755.pif
screen_doc.pif
screen_temp.pif
your_details.pif
El mensaje contendrá sólo uno de los asuntos y archivos adjuntos antes descriptos, teniendo este último aproximadamente 50 KB de tamaño.
Luego se enviará a todas las direcciones de correo electrónico que encuentre en los archivos con extensión dbx, htm, html y wab, usando su propio motor SMTP.
Al ejecutarse, se copiará en el directorio de Windows, en un archivo bajo el nombre msccn32.exe. Para iniciarse cada vez que el equipo es arrancado, modificará el registro del sistema:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
"System Tray" = “{Directorio de Windows}\msccn32.exe”
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
"System Tray" =“{Directorio de Windows}\msccn32.exe”
Incluye una rutina para propagarse a través de recursos compartidos, dónde se copiará en los siguientes directorios:
Windows\All Users\Start Menu\Programs\StartUp
Documents and Settings\All Users\Start Menu\Programs\Startup
Creará otros dos archivos en el directorio de Windows, donde almacenará posibles actualizaciones que intenta descargar de sitios en Geocities.
hnks.ini
msdbrr.ini
Exceptuando la rutina de actualización, todas sus funciones dejarán de ejecutarse el próximo 31 de Mayo. |
